內部控制評價軟件工具的開發與應用實踐

◎中國航天科技集團公司 許秀峰

中國航天系統科學與工程研究院 柯益鎖

內部控制評價軟件工具的開發與應用實踐

◎中國航天科技集團公司 許秀峰

中國航天系統科學與工程研究院 柯益鎖

建立規范的內部控制體系是國家推動中央企業做強做優的重要途徑和基本要求，也是中國航天科技集團公司提升管理水平、防范風險、確保戰略目標實現的重要措施。內部控制評價是確保內部控制有效執行的一項重要工作，其核心內容是通過監督檢查全面評價內部控制的設計和運行有效性，發現內部控制的缺陷，促進內部控制的改進和有效執行。

從中央企業的實踐來看，做好內部控制評價工作除了要抓好組織落實、建章立制、形成長效機制外，還需要做好2個方面的基礎工作：一是要制定一套適合企業實際的內部控制評價標準和缺陷認定標準；二是要有合適的操作方法和指引來規范并指導評價人員開展工作。借助于專業的內部控制評價工具將使上述2項工作更具可操作性，但由于市場上相關的專業軟件工具較少，且嵌入的內控評價標準及工作底稿等與航天科技集團實際存在較大差異，不能滿足其現實需求。因此，有必要研制開發一款簡單、實用、適合實際的內部控制評價軟件工具，利用信息技術將內部控制的評價標準、經驗和方法植入并固化到軟件中，為評價人員提供一個規范化、標準化的評價作業平臺，從而提高內部控制評價的工作質量和效率。

一、內部控制評價作業基本流程

首先，制定適合企業實際的評價標準和操作指引，規范各業務流程諸多控制點的評價內容和評價依據，并提供可參考的操作方法指南。

其次，評價作業人員對照評價標準，根據相關操作指南，采用訪談、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法逐項對內部控制設計與執行的情況進行現場測試，對于發現的及初步認定的內部控制缺陷，在及時與被評價單位進行溝通后，將檢查測試過程和結果填入工作底稿。

第三，對內部控制缺陷的成因、可能造成的后果進行定量或定性分析，判定缺陷的等級。

最后，對內部控制缺陷進行相關統計，形成評價結論并編寫內部控制評價報告。

二、設計思路及系統功能

1．設計思路

借助信息技術將內部控制評價標準、評價方法和專家經驗固化到軟件工具中，通過提供規范的內部控制評價作業流程和工作底稿，為評價作業人員開展內部控制評價提供全過程支撐，幫助各單位解決內部控制評價“評什么、如何評、評完報告怎么寫”等問題，使其高效規范地開展內部控制評價。

2．系統功能

為了達到上述目標，本軟件設計了以下幾個主要功能模塊：

任務管理模塊用于企業的內部控制評價活動，它可以是對內部控制的一次全面評價，也可以是對某些要素或重點業務模塊的一次評價。在任務管理模塊，評價部門可以布置任務、設置評價范圍、進行匯總分析等。

評價作業模塊規范了各業務流程、各控制環節、諸多控制點的評價內容和評價依據，內置了穿行測試、抽樣技術、定量綜合集成等相關方法技術，輔助用戶完成現場檢查評價任務。

缺陷管理模塊支持用戶對測試過程中發現的缺陷進行自動匯總，分析其產生的原因和可能導致的后果，對缺陷進行等級認定和統計分析，輔助作業人員形成評價結論。

報告管理模塊可以自動生成內部控制評價基礎報告，并將測試的結果自動匯總到評價報告中，輔助用戶完成內部控制評價報告的編寫工作。

知識管理模塊提供專家經驗和方法等的知識管理，支持評價標準和工作底稿的定制與管理，并留有同其它信息系統進行數據轉換的接口等。用戶只需在添加任務時設定任務的評價范圍，即能自動從知識管理模塊自動導入評價標準，并自動生成一次評價任務所需的所有工作底稿，輔助用戶開展現場評價作業，直到完成任務。

系統管理模塊提供系統運行所必須的功能，如角色管理、權限管理、安全管理等。此外，在設計時還把國家的相關政策和航天科技集團的一些相關文件單獨做了一個政策文件庫，方便用戶查閱和參考。

三、設計原則及系統構架

1．設計原則

該軟件工具的設計遵循易用性、靈活性、擴展性、安全性等原則。易用性是指界面友好，操作簡便，元素布局合理，自動化程度較高；靈活性是指嵌入的評價標準、自我檢查模板和檢查評價工作底稿等可根據需要進行定制與修改；擴展性是指軟件的架構要為加入新的功能提供預留接口，采用分層設計理念，做到高內聚、低耦合，可以快速實現新的業務功能；安全性是指軟件在涉及密碼的地方不得保存明文，用戶需要經過授權才能查看審核的數據，軟件編碼必須避免各種漏洞，如緩沖區溢出漏洞。

2．系統架構

為使軟件工具的功能模塊職責清晰，做到高內聚、低耦合，并使其可以在單機無網絡情況下部署安裝軟件，同時盡量降低開發工作量、縮短開發周期，本項目采用C/S分層架構的方式，選擇Delphi開發工具，后臺為MySQL數據庫。

圖1 內部控制評價工具系統架構

整個架構由界面操作層、業務邏輯層、數據適配層、基礎數據層組成（見圖1）。界面操作層展示用戶操作的圖形界面以及控制操作，調用業務邏輯層來執行相應的邏輯；業務邏輯層執行相應的業務邏輯，調用數據庫適配層來進行數據的更新、增加、刪除；數據適配層為上層提供數據庫訪問提供了透明的方式，起到隔離數據庫和上層應用邏輯之間的作用，換言之，底層的數據庫變化并不會影響到上層應用；基礎數據層采用MySQL數據庫，執行數據的存放和讀取功能。

四、內部控制評價工具的特點及應用效果

就航天科技集團的情況而言，大多數單位2014年是首次進行內部控制評價工作，在內部控制評價方面經驗欠缺，迫切需要有一個內部控制評價軟件工具使評價作業人員能夠對照評價標準，根據相關操作指引逐項對內部控制設計和執行的情況進行自評或檢查，查找出業務流程或控制點存在的缺陷，因此組織中國航天系統科學與工程研究院自主研發了“集團公司內部控制評價軟件工具”。研發過程中充分借鑒了一些咨詢公司以及部分優秀中央企業開展內部控制評價實踐的經驗成果，具有很強的實用性和針對性；借助程序化、自動化處理等信息技術的優勢，為用戶提供了規范化、標準化的操作界面，操作簡單，便于普及；同時為了確保數據安全不外泄，還對業務數據進行了相關的加密措施。此外，該軟件工具無需安裝，拷貝后即可使用，刪除該文件即可完成軟件工具的卸載。

該軟件工具已連續2年在各單位年度內部控制評價中進行了應用，并取得較好的效果。對于已經開展內部控制評價的單位而言，該軟件工具可以導入已有內部控制評價標準并定制工作底稿，固化現有的專家經驗和方法，使其能夠快速高效地完成評價作業；對于還未開展內部控制評價的單位而言，該軟件工具自帶一套以內部控制18項應用指引為依據的評價指標體系，通過固化的內部控制評價作業流程、經驗和方法幫助其開展內部控制評價作業。在這個軟件的輔助下，即便是經驗不足的作業人員也能獨立完成評價任務，解決了內部控制評價任務多、專業人員相對不足的問題，顯著提高了各單位內部控制評價作業的工作質量和效率，通過軟件的內部控制評價功能發現缺陷，促進了企業改進和完善公司及業務層面各項活動的制度化、規范化管理，提高了企業內部控制體系的有效性。

目前，信息技術在中國航天科技集團公司內部審計業務中的利用程度還不高，內部控制評價工具的應用和推廣是一個很好的契機，有助于促進信息技術在集團審計業務中應用。未來將不斷總結審計業務實踐的經驗，規范有關概念、工作流程和技術方法，形成相關作業標準并固化到計算機軟件中，以幫助用戶提升審計作業的質量和效率?！?/p>